У выніку перамоваў хакеры ўжо вярнулі вялікую частку актываў, выведзеных з рэзерву XCarnival
змест
Згодна з пратаколам пасмяротны, спецслужбы ўжо «папярэдне вызначылі» месцазнаходжанне хакераў, ідуць перамовы.
Платформа крэдытавання XCarnival NFT атакавана праз незвычайны вектар
Згодна з заявай, распаўсюджанай PeckShield, вядучым пастаўшчыком кібербяспекі для блокчейн-прадуктаў, была атакавана платформа крэдытавання NFT XCarnival.
1/ @XCarnival_Lab быў выкарыстаны ў шквале txs (адзін хак tx: https://t.co/LUcxSU9UQn),
што прывяло да выйгрышу 3,087 ETH (~3.8 мільёна долараў) для хакера (страта пратакола можа быць большай). pic.twitter.com/mmGw5PQfbt- PeckShield Inc. (@peckshield) Чэрвень 26, 2022
Зламыснікам удалося атрымаць бясконцую колькасць пазык, выкарыстоўваючы адзін і той жа гучны NFT (Bored Apes Yacht Club №5110). Пратакол стаў мішэнню «шквалу» транзакцый, ініцыяваных хакерамі.
Зламыснікам удалося стварыць некалькі кантрактных адрасоў, закласці BAYC NFT у якасці закладу, атрымаць пазыку, неадкладна зняць NFT і паўтарыць гэтую працэдуру некалькі разоў.
Такім чынам, хакеры пазычылі больш за 3.8 мільёна долараў у эквіваленце Ethereum (ETH) без неабходнасці вяртаць пазыку. Гэта стала магчымым дзякуючы ўразлівасці ў кодавай базе модуля запазычання.
Хакеры пачалі вяртаць сродкі
Каманда неадкладна паведаміла аб праблеме ў органы кібербяспекі і праваахоўныя органы. Першапачаткова хакеру прапанавалі ўзнагароду ў памеры 300,000 тысяч долараў за вяртанне сродкаў, але потым суму павялічылі да 1.8 мільёна долараў.
Асноўны кантракт, а таксама функцыі дэпазіту і пазыкі былі адключаны, каб карыстальнікі XCarnival не страцілі свае сродкі.
Паколькі зламысніка высачылі, пачаліся перамовы. На момант публікацыі ён/яна вярнуў 1,467 скрадзеных эфіраў (ETH). Варта таксама адзначыць, што першапачатковыя сродкі для нападу былі пераведзены з міксера Tornado Cash.
Як паведамляў U.Today раней, хакеры атакавалі пратакол дэцэнтралізаванага крэдытавання/пазычання Inverse Finance раней у гэтым месяцы; страты перавысілі 1.25 мільёна долараў у эквіваленце.
Крыніца: https://u.today/nft-platform-xcarnival-under-attack-malefactors-use-bayc-token